Guest User!

You are not Sophos Staff.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL VPN Client connection problem

Part 1
Hello.  I am having a problem connecting with the SSL VPN client on a HP 6735b laptop.  The client seems to work fine on other computers using the same user account.  The client appears to connect, however there is a problem in the log after the "successful ARP flush".  The log is too long so I will post it separately.

Everything appears to be normal up to the line "Successful ARP flush."  After this it fails.  It says it connects, but I cannot get anywhere on the network.
I disconnect and try again several times before it actually works.  It could take 5 or more attempts to get a good connection, and then after a reboot the problem repeats itself.  However, after the failed connection, I can run the 2 ROUTE ADD commands manually and it will start to work(I can browse the network, connect to Exchange, RDP, etc.)  I have tried connecting from different locations, wired or wireless.  I also tried removing the Astaro SSL client and installing OpenVPN 2.1 rc19 without success.  Tried connecting to a different ASG with the same results.  Updated network drivers.

I have had this problem on my own laptop, but only very rarely, and after a reconnect it works.

Any help would be appreciated


This thread was automatically locked due to age.
  • Fri May 14 11:59:01 2010 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
    Fri May 14 11:59:01 2010 Control Channel MTU parms [ L:1555 D:140 EF:40 EB:0 ET:0 EL:0 ]
    Fri May 14 11:59:01 2010 Data Channel MTU parms [ L:1555 D:1450 EF:55 EB:4 ET:0 EL:0 ]
    Fri May 14 11:59:01 2010 Local Options hash (VER=V4): 'b562e27c'
    Fri May 14 11:59:01 2010 Expected Remote Options hash (VER=V4): 'a4d0ce4d'
    Fri May 14 11:59:01 2010 Attempting to establish TCP connection with ***.***.***.***:***x
    Fri May 14 11:59:01 2010 TCP connection established with ***.***.***.***:***x
    Fri May 14 11:59:01 2010 Socket Buffers: R=[8192->8192] S=[8192->8192]
    Fri May 14 11:59:01 2010 TCPv4_CLIENT link local: [undef]
    Fri May 14 11:59:01 2010 TCPv4_CLIENT link remote: ***.***.***.***:***x
    Fri May 14 11:59:01 2010 TLS: Initial packet from ***.***.***.***:***x, sid=e66fb928 3ab17e9f
    Fri May 14 11:59:01 2010 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
    Fri May 14 11:59:03 2010 VERIFY OK: depth=1, /C=ca/L=***/O=***/CN=***/emailAddress=***@***
    Fri May 14 11:59:03 2010 VERIFY X509NAME OK: /C=ca/L=***/O=***/CN=***/emailAddress=***@***
    Fri May 14 11:59:03 2010 VERIFY OK: depth=0, /C=ca/L=***/O=***/CN=***/emailAddress=***@***
    Fri May 14 11:59:08 2010 Data Channel Encrypt: Cipher 'AES-192-CBC' initialized with 192 bit key
    Fri May 14 11:59:08 2010 Data Channel Encrypt: Using 128 bit message hash 'MD5' for HMAC authentication
    Fri May 14 11:59:08 2010 Data Channel Decrypt: Cipher 'AES-192-CBC' initialized with 192 bit key
    Fri May 14 11:59:08 2010 Data Channel Decrypt: Using 128 bit message hash 'MD5' for HMAC authentication
    Fri May 14 11:59:08 2010 Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA
    Fri May 14 11:59:08 2010 [MSBMMFW] Peer Connection Initiated with ***.***.***.***:***x
    Fri May 14 11:59:10 2010 SENT CONTROL [MSBMMFW]: 'PUSH_REQUEST' (status=1)
    Fri May 14 11:59:10 2010 PUSH: Received control message: 'PUSH_REPLY,ifconfig 10.242.2.6 10.242.2.5,ping-restart 120,ping 10,topology net30,route 10.242.2.1,dhcp-option WINS 192.168.46.1,dhcp-option DNS 192.168.46.1,route 192.168.46.0 255.255.255.0'
    Fri May 14 11:59:10 2010 OPTIONS IMPORT: timers and/or timeouts modified
    Fri May 14 11:59:10 2010 OPTIONS IMPORT: --ifconfig/up options modified
    Fri May 14 11:59:10 2010 OPTIONS IMPORT: route options modified
    Fri May 14 11:59:10 2010 OPTIONS IMPORT: --ip-win32 and/or --dhcp-option options modified
    Fri May 14 11:59:10 2010 ROUTE default_gateway=192.168.2.1
    Fri May 14 11:59:10 2010 TAP-WIN32 device [Local Area Connection 8] opened: \.\Global\{031FEE8C-C18E-4405-B3AA-D6C79D7E45BE}.tap
    Fri May 14 11:59:10 2010 TAP-Win32 Driver Version 9.6 
    Fri May 14 11:59:10 2010 TAP-Win32 MTU=1500
    Fri May 14 11:59:10 2010 Notified TAP-Win32 driver to set a DHCP IP/netmask of 10.242.2.6/255.255.255.252 on interface {031FEE8C-C18E-4405-B3AA-D6C79D7E45BE} [DHCP-serv: 10.242.2.5, lease-time: 31536000]
    Fri May 14 11:59:10 2010 Successful ARP Flush on interface [3] {031FEE8C-C18E-4405-B3AA-D6C79D7E45BE}
    Fri May 14 11:59:15 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
    Fri May 14 11:59:15 2010 Route: Waiting for TUN/TAP interface to come up...
    Fri May 14 11:59:20 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
    Fri May 14 11:59:20 2010 Route: Waiting for TUN/TAP interface to come up...
    Fri May 14 11:59:21 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
    Fri May 14 11:59:21 2010 Route: Waiting for TUN/TAP interface to come up...
    Fri May 14 11:59:22 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
    Fri May 14 11:59:22 2010 Route: Waiting for TUN/TAP interface to come up...
    Fri May 14 11:59:23 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
    Fri May 14 11:59:23 2010 Route: Waiting for TUN/TAP interface to come up...
    Fri May 14 11:59:24 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
    Fri May 14 11:59:24 2010 Route: Waiting for TUN/TAP interface to come up...
    Fri May 14 11:59:25 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
    Fri May 14 11:59:25 2010 Route: Waiting for TUN/TAP interface to come up...
    Fri May 14 11:59:26 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
    Fri May 14 11:59:26 2010 Route: Waiting for TUN/TAP interface to come up...
    Fri May 14 11:59:27 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
    Fri May 14 11:59:27 2010 Route: Waiting for TUN/TAP interface to come up...
    Fri May 14 11:59:28 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
    Fri May 14 11:59:28 2010 Route: Waiting for TUN/TAP interface to come up...
    Fri May 14 11:59:29 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
    Fri May 14 11:59:29 2010 Route: Waiting for TUN/TAP interface to come up...
    Fri May 14 11:59:30 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
    Fri May 14 11:59:30 2010 Route: Waiting for TUN/TAP interface to come up...
    Fri May 14 11:59:31 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
    Fri May 14 11:59:31 2010 Route: Waiting for TUN/TAP interface to come up...
    Fri May 14 11:59:32 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
    Fri May 14 11:59:32 2010 Route: Waiting for TUN/TAP interface to come up...
    Fri May 14 11:59:33 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
    Fri May 14 11:59:33 2010 Route: Waiting for TUN/TAP interface to come up...
    Fri May 14 11:59:34 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
    Fri May 14 11:59:34 2010 Route: Waiting for TUN/TAP interface to come up...
    Fri May 14 11:59:35 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
    Fri May 14 11:59:35 2010 Route: Waiting for TUN/TAP interface to come up...
    Fri May 14 11:59:36 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
    Fri May 14 11:59:36 2010 Route: Waiting for TUN/TAP interface to come up...
    Fri May 14 11:59:37 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
    Fri May 14 11:59:37 2010 Route: Waiting for TUN/TAP interface to come up...
    Fri May 14 11:59:38 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
    Fri May 14 11:59:38 2010 Route: Waiting for TUN/TAP interface to come up...
    Fri May 14 11:59:39 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
    Fri May 14 11:59:39 2010 Route: Waiting for TUN/TAP interface to come up...
    Fri May 14 11:59:40 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
    Fri May 14 11:59:40 2010 Route: Waiting for TUN/TAP interface to come up...
    Fri May 14 11:59:41 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
    Fri May 14 11:59:41 2010 Route: Waiting for TUN/TAP interface to come up...
    Fri May 14 11:59:42 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
    Fri May 14 11:59:42 2010 Route: Waiting for TUN/TAP interface to come up...
    Fri May 14 11:59:43 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
    Fri May 14 11:59:43 2010 Route: Waiting for TUN/TAP interface to come up...
    Fri May 14 11:59:44 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
    Fri May 14 11:59:44 2010 Route: Waiting for TUN/TAP interface to come up...
    Fri May 14 11:59:45 2010 TEST ROUTES: 0/0 succeeded len=2 ret=0 a=0 u/d=down
    Fri May 14 11:59:45 2010 C:\WINDOWS\system32\route.exe ADD 10.242.2.1 MASK 255.255.255.255 10.242.2.5
    Fri May 14 11:59:45 2010 Warning: route gateway is not reachable on any active network adapters: 10.242.2.5
    Fri May 14 11:59:45 2010 Route addition via IPAPI failed [adaptive]
    Fri May 14 11:59:45 2010 Route addition fallback to route.exe
    Fri May 14 11:59:46 2010 C:\WINDOWS\system32\route.exe ADD 192.168.46.0 MASK 255.255.255.0 10.242.2.5
    Fri May 14 11:59:46 2010 Warning: route gateway is not reachable on any active network adapters: 10.242.2.5
    Fri May 14 11:59:46 2010 Route addition via IPAPI failed [adaptive]
    Fri May 14 11:59:46 2010 Route addition fallback to route.exe
    SYSTEM ROUTING TABLE
    0.0.0.0 0.0.0.0 192.168.2.1 p=0 i=2 t=4 pr=3 a=241 h=0 m=20/-1/-1/-1/-1
    127.0.0.0 255.0.0.0 127.0.0.1 p=0 i=1 t=3 pr=2 a=264 h=0 m=1/-1/-1/-1/-1
    169.254.0.0 255.255.0.0 169.254.179.126 p=0 i=3 t=3 pr=2 a=219 h=0 m=1/-1/-1/-1/-1
    169.254.179.126 255.255.255.255 127.0.0.1 p=0 i=1 t=3 pr=2 a=219 h=0 m=1/-1/-1/-1/-1
    169.254.255.255 255.255.255.255 169.254.179.126 p=0 i=3 t=3 pr=2 a=219 h=0 m=1/-1/-1/-1/-1
    192.168.2.0 255.255.255.0 192.168.2.64 p=0 i=2 t=3 pr=2 a=243 h=0 m=20/-1/-1/-1/-1
    192.168.2.64 255.255.255.255 127.0.0.1 p=0 i=1 t=3 pr=2 a=243 h=0 m=20/-1/-1/-1/-1
    192.168.2.255 255.255.255.255 192.168.2.64 p=0 i=2 t=3 pr=2 a=243 h=0 m=20/-1/-1/-1/-1
    224.0.0.0 240.0.0.0 169.254.179.126 p=0 i=3 t=3 pr=2 a=219 h=0 m=1/-1/-1/-1/-1
    224.0.0.0 240.0.0.0 192.168.2.64 p=0 i=2 t=3 pr=2 a=243 h=0 m=20/-1/-1/-1/-1
    255.255.255.255 255.255.255.255 169.254.179.126 p=0 i=3 t=3 pr=2 a=264 h=0 m=1/-1/-1/-1/-1
    255.255.255.255 255.255.255.255 192.168.2.64 p=0 i=2 t=3 pr=2 a=264 h=0 m=1/-1/-1/-1/-1
    SYSTEM ADAPTER LIST
    Astaro SSL VPN Adapter - Packet Scheduler Miniport
      Index = 3
      GUID = {031FEE8C-C18E-4405-B3AA-D6C79D7E45BE}
      IP = 169.254.179.126/255.255.0.0 
      MAC = 00:ff:03:1f:ee:8c
      GATEWAY =  
      DHCP SERV = 255.255.255.255 
      DHCP LEASE OBTAINED = Fri May 14 11:56:07 2010
      DHCP LEASE EXPIRES  = Mon Jan 18 22:14:07 2038
      DNS SERV =  
    Broadcom NetLink (TM) Gigabit Ethernet - Packet Scheduler Miniport
      Index = 2
      GUID = {B2DB03B5-FB59-4BDE-B625-2966BE2F1999}
      IP = 192.168.2.64/255.255.255.0 
      MAC = 18:a9:05:cf:38:12
      GATEWAY = 192.168.2.1/0.0.0.0 
      DHCP SERV = 192.168.2.1 
      DHCP LEASE OBTAINED = Fri May 14 11:55:43 2010
      DHCP LEASE EXPIRES  = Mon Jan 18 22:14:07 2038
      DNS SERV = 192.168.2.1 216.104.96.22 216.104.98.222 
    Fri May 14 11:59:46 2010 Initialization Sequence Completed With Errors ( see FAQ )
  • Without digging into the details of your log, this sounds like the Win7/Vista problem of the route not being added because of Windows security settings.  If you can make it work correctly by starting the client with the 'Run as Amdinistrator' option, then use ClarkDaughtry's How-To: https://community.sophos.com/products/unified-threat-management/astaroorg/f/58/p/53565/194688#194688

    Cheers - Bob
  • Bob, this is actually on a Windows XP machine and the user has local admin rights.  I have also used the administrator account with the same results.

    I have setup a PPTP connection that is working, but I would prefer to user the SSL client so I can authenticate to AD.
  • I am revisiting this, as I have come across the problem again.  This is occuring on a customer's HP 6735b(same as the first one) laptop with Broadcom NetLink Gigabit NIC and Broadcom 4322AG wireless NIC and Windows XP.  The problem is that after a reboot, the SSL VPN client will not connect.  The error log is the same as the one I posted previously.  It is waiting for the TUN/TAP interface to come up and after several attempts it seems to time out and then add the fallback routes, which won't allow any communication to the network.  So it seems to build the tunnel, but fails after that.  If I continue to try to reconnect or disconnect/connect it will usually work after 2 or 3 more tries and then it will work consistently after that, until the laptop is rebooted and the whole cycle repeats itself.

    Things I have tried:

    -Installed the same client and config on my own HP laptop(Win 7) and it works fine.(I have several SSL VPN configs on this laptop and they all work fine)
    -Installed the same client and config on a Dell laptop and it works fine.
    -Installed the OpenVPN 2.2.1 client on the customer laptop, same problem.
    -Installed a config for my own ASG on the customer laptop, same problem.
    -Disabled antivirus on customer laptop(McAfee VS 8.8), same problem.
    -Installed newest Broadcom drivers(14.6.0.6) on customer laptop, same problem.
    -Using administrator account on cust laptop, same problem.
    -Start VPN client with Run As administrator, same problem.
    -Tried diagnostic startup(load basic devices and services only), same problem.
    -Added route-delay 20, same problem
    -Tried a USB NIC, same problem
    -Tried a user account that authenticates to AD and tried a user account that is only on the ASG, same problem.(I think the problem is actually occurring after authentication?)
    -Tried using the wired and wireless NICS, same problem.
    -Tried different internet providers, same problem.
    -Customer ASG has recently been updated to V8.103 from I think V7.510.

    I thought it might be something with the Broadcom NIC, but my own laptop has the same NIC and it works great.

    I'm really not sure what to do next.  Does anyone have any ideas?

    Thanks,

    Tim
  • I didn't see your comment about XP until now.  This could be the issue with the sequence of adapters.  Check that the SSL VPN is the first one.

    Cheers - Bob
  • Thanks for the replies.  The SSL VPN adaptor is already the first one on the list.
  • You don't have any other VPNs active, do you?

    Cheers - Bob
  • Hi Bob,

    No, there are no other VPNs.  

    Tim
  • Try a rootkit and a malware scan; some rootkits, etc. hook into the TCP/IP stack and mess it up a bit, requiring the Winsock stack to be rebuilt sometimes.